Zdravím,
minulou středu mě zákazník požádal o pomoc s nefunkčním webem hostovaným u Wedosu.
Během průzkumu situace se web sám rozběhl (zřejmě krátký výpadek Wedosu), ale při té příležitosti jsem v rootu webu objevil 2GB soubor s core dumpem paměti virtuálního serveru Wedosu :-O
Napsal jsem podpoře o nálezu, odpověděl mi člověk č. 1 (C1), že je vše v cajku a web funguje.
Optal jsem se tedy podruhé, co s tím core dumpem obsahujícím hesla zákazníků, odpověděl C2, že pokud mám napadený web, mám informovat své zákazníky.
V dalším mailu jsem požádal, aby mě spojili s někým ze security, kdo bude vědět, o čem je řeč.
Odpověděl C3, ať mu soubor pošlu - nevím jestli čekal, že budu přikládat 2GB do přílohy mailu nebo dump paměti jejich serveru nahrávat někam na uloz.to?
Nakonec jsme se tedy domluvili na založení FTP přístupu.
Od té doby se nic neděje, zákazníkovi nepřišla výzva ke změně hesla, na můj dotaz žádná reakce.
Je možné, že na hostingu došlo k singularitě, která se stává jednou za trvání vesmíru a jediný, kdo si toho všiml jsem já a nic se neděje (tedy kromě toho, že mám přístup k heslům desítek zákazníků Wedosu, atd...).
Ale taky si umím představit situaci, kdy každý pád serveru ukládá zákazníkům core dumpy serveru na jejich FTP nebo dokonce situaci, kdy útočník o takovém chování ví, umí ho sám vyvolat a core dumpy si takto sbírá podle potřeby.
Tím, že Wedos nedává přístup k access logům zdarma, nemám jak zkontrolovat, jestli si soubor někdo přede mnou stáhnul.
Nevím, jak Wedos přesvědčit, aby informoval zákazníky, že je nutné si změnit hesla.
Mám shánět mail na J. Grilla? Psát na NÚKIB? ÚOOÚ? Jak byste to řešili vy?
2 Odpovědí
402 Zhlédnutí